0-day в GlobalProtect от Palo Alto Networks открывает вход в сеть

Татьяна Никитина 11 Ноября 2021 - 17:51

Корпорации

GlobalProtect

VPN-клиенты

Межсетевые экраны нового поколения (NGFW)

Эксплойты

Уязвимости программ

Уязвимость нулевого дня

Патчи

...

0-day в GlobalProtect от Palo Alto Networks открывает вход в сеть

В шлюзах безопасности Palo Alto Networks, использующих программное обеспечение GlobalProtect, выявлена уязвимость, позволяющая обойти аутентификацию и выполнить в системе произвольный код с привилегиями root. Обновления с патчем уже доступны, пользователям настоятельно рекомендуется их установить.

Критическую уязвимость в интерфейсе VPN-порталов и шлюзов на основе GlobalProtect (CVE-2021-3064, 9,8 балла по CVSS) обнаружили исследователи из ИБ-компании Randori. Ввиду большой опасности дыры публичное раскрытие деталей и PoC-кода было отложено на месяц — до выпуска заплатки.

Согласно блог-записи авторов находки, корнем зла в данном случае является ошибка переполнения буфера, возникающая при парсинге пользовательского ввода. Чтобы обойти проверки на веб-интерфейсе и добраться до проблемного кода, аналитики использовали технику HTTP smuggling; в итоге им удалось установить полный контроль над уязвимым устройством.

Эксплойт при такой комбинации требует сетевого доступа к файрволу на порту 443 (дефолтный для службы GlobalProtect). Эксперименты показали, что подобная возможность удаленного исполнения кода с привилегиями уязвимого компонента позволяет залить на сервер шелл, получить доступ к закрытым данным, извлечь пароли пользователей, а также проникнуть во внутреннюю сеть мишени, чтобы развить атаку. В случае с виртуальным файрволом (PA-VM) провести эксплойт оказалось проще: в прошивке таких устройств отключена ASLR-защита.

По данным Palo Alto, данная проблема актуальна только для файрволов с PAN-OS ветки 8.1 и включенным VPN-клиентом GlobalProtect. Поиск по Shodan показал, что в интернете присутствуют более 10 тыс. уязвимых экземпляров GlobalProtect VPN.

Поскольку PoC-эксплойт уже опубликован, пользователям советуют незамедлительно обновить PAN-OS до пропатченной сборки 8.1.17 либо перейти на более новую версию — 9 или 10. В Palo Alto также создали сигнатуры (91820 и 91855) для блокировки вредоносного трафика на уровне веб-интерфейса GlobalProtect; ими можно воспользоваться как временной мерой защиты от эксплойта.

Эксперты Randori, со своей стороны, рекомендуют отключить GlobalProtect в тех случаях, когда VPN-доступ не используется. Пользователям также не следует забывать общие правила безопасности для устройств, подключенных к интернету:

регулярно просматривать логи и алерты на предмет аномальной активности;
ввести фильтрацию IP-адресов источников запросов там, где это возможно;
использовать многоуровневую систему контроля — файрволы веб-приложений, сегментацию, контроль доступа.

Практика показывает, что VPN-устройства — привлекательная цель для злоумышленников. В этом году уязвимости в популярных продуктах VPN использовали операторы шифровальщиков Cring, Ragnar Locker и BitLocker.

Следующая главная новость »

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!

Яков Шпунт 12 Мая 2026 - 10:24

Соответствие законодательству РФ Общее

Спрос на рекламу в Telegram снизился до 12%, но рынок не рухнул

Массового обрушения рынка рекламы в Telegram не произошло. Снижение спроса не превышает 12% и в основном затронуло сферы, где особенно важна визуальная составляющая: моду и стиль, кулинарию, интерьер и строительство. При этом эффективность рекламы, напротив, скорее выросла.

Такую оценку «Газете.Ru» дала руководитель отдела контентного продвижения и инфлюенс-маркетинга E-Promo Ксения Голубева.

Ключевым фактором стало разрешение размещать рекламу на платформе до конца года. При этом каналы активно перестраиваются: пересматривают частоту публикаций, формат контента и рекламные интеграции.

Ограничения слабо сказались и на активности авторов каналов:

«По данным WhoIsBlogger на конец марта, полностью прекратили публикации лишь около 2% каналов — это очень небольшая доля для такой чувствительной среды. Большинство авторов продолжает работать, пусть и более осторожно».

В марте объём публикуемого контента снизился по сравнению с февралем заметнее — более чем на 12%. Вместе с ним сократилась и рекламная активность. Однако к драматическим последствиям это не привело: по оценке Ксении Голубевой, каналы скорее оптимизируют частоту размещений и аккуратнее работают с рекламодателями.

Сильнее всего пострадали сегменты, где важен визуальный контент: мода, лайфстайл, интерьер, строительство и кулинария.

«Такие форматы сильнее зависят от стабильного трафика. При любом снижении охвата именно визуальный контент проседает быстрее. Мы уже видим, как часть рекламодателей и авторов в этих нишах переориентируются на более простые текстовые форматы, которые дешевле в производстве и устойчивее к колебаниям трафика», — рассказала Ксения Голубева.

При этом эффективность рекламы даже выросла за счёт снижения конкуренции. Кроме того, оставшиеся игроки получили более выгодные условия размещения.

В то же время несколько усложнился таргетинг. Причиной стало использование средств обхода блокировок, из-за чего снижается точность геотаргетинга по отдельным регионам и городам.

По мнению эксперта, дальше ситуация будет развиваться по сценарию, похожему на историю с Instagram (принадлежит признанной в России экстремистской и запрещённой корпорации Meta). Сокращение рекламы, вероятно, пройдёт в две волны: сначала уходят самые осторожные игроки, а следующая волна возможна позже, когда ограничения окончательно закрепятся и оставшиеся участники рынка пересоберут свои стратегии. Однако резкого падения не ожидается: скорее произойдёт перераспределение рынка между другими площадками.

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!